2025-12-06 08:26:44

Vẫn còn một đống dự án trên mạng chưa khắc phục lỗ hổng này. Nếu lỗ hổng RSC deserialization của Next.js thực sự bị hacker nhắm tới thì không chỉ đơn giản là server bị sập đâu — cả private key và ví của bạn cũng có thể bị lộ hết.

Làm sao biết mình có dính không?
Có hai cách nhanh gọn:
• Cài một extension trên trình duyệt để quét thử
• Chạy trực tiếp script POC để kiểm tra

Hướng dẫn tự cứu đây:
Kiểm tra ngay phiên bản các package phụ thuộc, gõ lệnh npm list react-server-dom-webpack trên command line để xem tình hình. Có bản cập nhật thì cập nhật, có bản vá thì vá liền, đừng đợi tới khi xảy ra sự cố mới hối hận.

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

18 thích

Phần thưởng
18
9
Đăng lại
Retweed

Bình luận

Thêm một bình luận

BearMarketSurvivor

· 2025-12-09 04:44

Nếu cái lỗ này thực sự bị người ta khai thác, kiểm soát thiệt hại là ưu tiên hàng đầu. Tôi đã thấy quá nhiều đội vá lỗi chậm, cuối cùng đều bị vạ lây. Phải tự kiểm tra một lượt trước khi đối thủ phát hiện, đừng để lỗ hổng ở tuyến tiếp tế lộ liễu như vậy.

Xem bản gốcTrả lời0

NotGonnaMakeIt

· 2025-12-06 20:01

Vãi thật, lỗ hổng này kinh khủng quá, private key để trần luôn à? Mình phải quét ngay mới được.

Xem bản gốcTrả lời0

PessimisticLayer

· 2025-12-06 19:44

Private key trực tiếp lộ ra ngoài? Đây mới thực sự là điều đáng sợ, lẽ ra nên chú ý đến chuyện này từ lâu rồi.

Xem bản gốcTrả lời0

GovernancePretender

· 2025-12-06 08:56

Vãi thật, private key mà cũng để lộ thế này à? Anh em kiểm tra gấp đi.

---

Lại là kiểu lỗ hổng ẩn sâu như này, không biết còn bao nhiêu dự án vẫn đang ngủ quên.

---

Chạy npm list một lượt là xong, đừng để đến lúc bị đâm rồi mới nhớ ra.

---

Cái này nghiêm trọng hơn mình nghĩ nhiều, phải patch ngay thôi.

---

Nói thật, giờ ai còn dám khẳng định package phụ thuộc của mình hoàn toàn an toàn nữa đâu.

---

Ghê thật, lại thêm một lỗ hổng có thể đánh cắp private key, thời buổi này đúng là nguy hiểm.

Xem bản gốcTrả lời0

hodl_therapist

· 2025-12-06 08:56

Anh ơi đừng làm em sợ, mấy cái dự án nhỏ của em chẳng lẽ thực sự mong manh đến vậy sao... để em chạy thử cái script xem sao.

Xem bản gốcTrả lời0

StablecoinAnxiety

· 2025-12-06 08:53

Trời ơi, private key lộ hết à? Ai mà chịu nổi, quét nhanh một lượt đi

Xem bản gốcTrả lời0

SerLiquidated

· 2025-12-06 08:46

Tôi là một người săn bug theo thói quen, cứ thấy lỗ hổng giải tuần tự hóa là lại nhớ đến những dự án từng bị "ngã ngựa" trước đây... Chuyện private key bị lộ thực sự không phải chuyện đùa. Phải nhanh chóng chạy thử một script POC để kiểm chứng, có như vậy mới yên tâm ngủ ngon.

Xem bản gốcTrả lời0

ser_we_are_ngmi

· 2025-12-06 08:37

Anh em ơi, cái lỗ hổng này thật sự bá đạo, private key để lộ trần trụi thế này ai mà chịu nổi chứ

---

Lại là hố của Next.js, bao giờ mới cho người ta yên tâm đây

---

Tôi chỉ muốn biết còn bao nhiêu dự án đang dính chưởng, dù sao thì tôi cũng chạy script POC trước cho chắc

---

Nói nâng cấp npm thì dễ mà làm mới khó, ai biết có phát sinh bug mới không

---

Quét một lượt bằng extension trình duyệt là xong à? Thấy không đơn giản vậy đâu

---

Lỗ hổng deserialization mà lộ private key, đúng kiểu chết người luôn

---

Phải lao vào chạy npm list ngay, không thì mất ngủ mất

---

Đúng là lo lắng vãi, lại còn phải tự chạy script kiểm tra, dự án thì ở đâu hết rồi

---

Lần này mà không thấy cái này thì chắc tôi vẫn còn mơ hồ lắm

Xem bản gốcTrả lời0

DeFiChef

· 2025-12-06 08:28

Vãi, lỗ hổng to thế này mà vẫn có người chưa vá à? Để private key lộ ra ngoài thế này không phải chuyện đùa đâu. Mau chạy npm list một lượt đi, đừng để đến lúc ví bị vét sạch rồi mới ngồi khóc than.

Xem bản gốcTrả lời0

Xem thêm